CVE-2026-4133 in TextP2P Texting Widget Plugininfo

Zusammenfassung

von VulDB • 03.06.2026

Das TextP2P-Texting-Widget-Plugin für WordPress ist in allen Versionen bis einschließlich 1.7 anfällig für Cross-Site Request Forgery (CSRF). Dies liegt am fehlenden Nonce-Validierungsmechanismus in der Funktion `imTextP2POptionPage()`, die Einstellungenaktualisierungen verarbeitet. Das Formular an Zeile 314 enthält kein `wp_nonce_field()`, und der POST-Handler an Zeile 7 ruft weder `check_admin_referer()` noch `wp_verify_nonce()` auf, bevor Änderungen an den Einstellungen vorgenommen werden. Dies ermöglicht es nicht authentifizierten Angreifern, alle Plugin-Einstellungen einschließlich Chat-Widget-Titeln, Nachrichten, API-Anmeldeinformationen, Farben und der reCAPTCHA-Konfiguration über eine gefälschte Anfrage zu aktualisieren, vorausgesetzt, sie können einen Websiteadministrator dazu bringen, eine Aktion wie das Klicken auf einen Link auszuführen.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Wordfence

Reservieren

13.03.2026

Veröffentlichung

22.04.2026

Moderieren

akzeptiert

Eintrag

VDB-358815

CPE

bereit

EPSS

0.00006

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4133
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4133
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4133/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!